20241917 2024-2025-2《网络攻防实践》第三次作业

1.知识点梳理与总结
1.1实验要求
(1)动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?

(2)动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:

你所登录的BBS服务器的IP地址与端口各是什么?
TELNET协议是如何向服务器传送你输入的用户名及登录口令?
如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
(3)取证分析实践,解码网络扫描器(listen.cap)

攻击主机的IP地址是什么?

网络扫描的目标IP地址是什么?

本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?

你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。

在蜜罐主机上哪些端口被发现是开放的?

攻击主机的操作系统是什么?

1.2知识点梳理
(1)TCPDump
TCPDump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

(2)网络嗅探
网络嗅探需要用到网络嗅探器, 其最早是为网络管理人员配备的工具, 有了嗅探器网络管理员可以随时掌握网络的实际情况,查找网络漏洞和检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器分析网络流量,找出网络阻塞的来源。网络嗅探是网络监控系统的实现基础。

(3)Wireshark
Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

2.动手实践
2.1动手实践tcpdump
首先将kali的网络模式设置为桥接模式

查询本机IP地址为192.168.77.221
168
打开浏览器,进入百度。

出现如下信息

2.2动手实践Wireshark
访问水木社区,注册账号

在Kali终端中使用luit -encoding GBK telnet bbs.newsmth.net使用telnet登录水木社区

在终端输入guest以访客登入

打开Kali自带的Wireshark进行抓包,网卡选择eth0网卡,在Wireshark中使用过滤器将telnet协议的数据包过滤,如下图

继续追踪TCP流可以发现,输入的guest以明文方式向传输如下图

2.3取证分析实践,解码网络扫描(listen.cap)
打开Kali虚拟机,在WireShark中进行listen.pcap文件的分析

将 listen.pcap 复制到kali虚拟机后,使用snort对二进制记录文件进行入侵检测。
对于snort以前未安装,所以在打开kali终端后进入root终端进行安装

用Wireshark打开listen.pcap文件进行分析

打开文件如下图所示

筛选ARP:因为nmap会根据arp更新目标MAC地址,因此通过查询ARP地址,即可得到攻击者通过广播的形式查询靶机172.31.4.178的MAC地址

查询ICMP:查询icmp可以发现,攻击机和靶机之间存在双向数据包,说明进行了批量的ping扫描进行主机扫描,以确认目标靶机是否活跃。

查询TCP:在wireshark中,设置查询条件为tcp,可以观察到进行了大量的TCP扫描,如图可以看到攻击机向靶机发送SYN请求包,靶机返回SYN,ACK确认连接,攻击机响应,说明该端口开放,所以攻击机进行了nmap -sS 172.31.4.188 扫描。

tcp.flags.syn == 1 and tcp.flags.ack == 1查询
通过查询tcp.flags.syn == 1 and tcp.flags.ack == 1可以得到靶机所有开放的端口,发现目标开启端口21,22,23,25,53,80,445,3306,5432,8009,8180

查看攻击机主机的操作系统
在终端中输入命令sudo apt-get install p0f,安装p0f


输入p0f -r ./Desktop/listen.pcap。
查看结果,可以看到它推测的操作系统是Linux 2.6.x。

3.学习中遇到的问题及解决
问题1:kali机改桥接模式之后连不上网,前一天连教室的WiFi,但是kali没有网。
问题1解决方案:改成手机开热点之后可以浏览器打开百度了。
第二天下载p0f又出现问题,kali没有网,在朱天宇同学的帮助下完成了实验的最后一步,连接手机热点解决问题。

4.学习感悟
通过本次实验,我们学习了网络嗅探和协议分析的实践操作。学会使用tcpdump和Wireshark,进一步认识到网络安全的重要性。这次实践让我对网络攻防有了更直观的认识,同时也深刻认识到团队合作和寻求帮助的重要性,感谢恩克、朱天宇、鲍恒宇等同学的帮助。

posted @ 2025-03-20 09:36  L00000  阅读(9)  评论(0)    收藏  举报